Linux Daily Topics

2017年2月1日Ubuntu、OpenSSLの脆弱性に起因するセキュリティアップデートを呼びかけ

Canonicalは1月31日(英国時間⁠⁠、⁠Ubuntu Security Notice USN-3181-1」としてOpenSSLの脆弱性に関わる6つのセキュリティホールの詳細をあらためて公開、ほぼすべてのUbuntuユーザに対して早急にセキュリティアップデート(OpenSSLパッケージのアップデート)を実行するように呼びかけている。対象となるバージョンはUbuntu 12.04 LTS、14.04 LTS、16.04 LTS、およびUbuntu 16.10。

USN-3181-1: OpenSSL vulnerabilities

関連する6つのセキュリティホールの概要は以下の通り。

CVE-2016-2177
Guido Vrankenによって発見された、Ubuntu 12.04 LTSとUbuntu 14.04 LTSに関連する脆弱性。それ以降のUbuntuでは修正済み。ヒープバッファの境界チェックにポインタ演算を使用してしまうことにより、攻撃者によってOpenSSLをクラッシュさせられ、DoS攻撃につながる可能性
CVE-2016-7055
Ubuntu 16.04 LTSとUbuntu 16.10に関連する脆弱性。OpenSSLによるモンゴメリ乗算処理の誤りで一時障害を引き起こし、DoS攻撃などにつながる可能性
CVE-2016-7056
Ubuntu 12.04 LTSとUbuntu 14.04 LTSに関連する脆弱性。楕円曲線暗号の一種であるECDSA P-256の署名中に一定期間オペレーションできなくなってしまい、その間にプライベートキーを解読されるなどの攻撃を受ける可能性
CVE-2016-8610
Shi Leiによって発見された脆弱性。任意の警告アラートが正しく送信されず、OpenSSLのレスポンスがストップすることでDoS攻撃につながる可能性
CVE-2017-3731
Robert Swieckiによって発見された脆弱性。OpenSSLがトランケートされたパケットを適切に適切に処理できず、攻撃者によってOpenSSLをクラッシュさせられ、DoS攻撃につながる可能性
CVE-2017-3732
Ubuntu 16.04 LTSおよびUbuntu 16.10に関連する脆弱性。x86_64環境でのモンゴメリ乗算処理の誤りでプライベートキーを解読される可能性

Canonicalはこれらの脆弱性に対応するアップグレードについて、デスクトップ/サーバともにその方法をWikiにて公開している。

Security/Upgrades -Ubyntu Wiki

おすすめ記事

記事・ニュース一覧